最初に、私はずっと前に各部門にファイル共有を実装した会社で働いていましたが、NTFSアクセス許可の基本的なルールを破り、特定のフォルダーのユーザーに明示的なアクセス許可を使用していました。セットアップの例を示すために、すべてのユーザーがW:ドライブを持っています。 W:ドライブの階層は次のようになります。
W:\ HR
W:\ Legal
W:\ Finance
W:\ Communications
これらのフォルダはかなり整理されていたと思います。しかし、法務部の誰かがHRドキュメントへのアクセスを必要とし、財務部の誰かが法務ドキュメントへのアクセスを必要とするという複雑な状況が発生し、法務の異なるサブディビジョンから2人の異なる人々が法的フォルダー内の特定のフォルダーへのアクセスを必要とするという奇妙なケースがあります。しかし、他の人にこのフォルダへのアクセスを許可したくありません。当時、IT部門が最善の解決策と感じていたのは、それらのユーザーに明示的なアクセス許可を与えることです。
7年前にこの仕事を始めてから、これらのインスタンスのセキュリティグループを作成することをほのめかしています(たとえ1つのユーザーアカウントだけの場合でも)。ユーザーが離れると、すべてのグループから削除され、元従業員のOUは5年間ですが、明示的なアクセス許可はファイル共有のフォルダーに残ります。
これらのインスタンスのセキュリティグループを作成することをヒントにすると、反対の議論は、「人々が去ったときにすべての空のグループをどのように管理するのか?ADでこれらのグループをどのように整理して名前を付けるのか?」です。
最初の引数として、空のグループを削除するか、特定のフォルダへの同じアクセスを要求する将来の従業員のためにそれらをそのままにしておく単純なpowershellスクリプトを提案します。
2番目の引数は、良い解決策を見つけるのに苦労しているところです。したがって、その簡単な小説の後で、上記の状況に直面したときに、NTFSアクセス許可のためにADのセキュリティグループを編成するためのヒントや例を求めたいと思います。
私が持っていたのは、特別なNTFSアクセス許可グループ専用のOUを作成し、グループにアクセスを許可するフォルダーの名前を付け、説明に完全なファイルパスを含めることでした。
誰かがより良いアイデアを持っている場合、または誰かがこれを異なる方法で行う場合は、私は提案を受け入れます。
あなたの考えは本質的に私がすることであり、私は複雑な環境でそのように物事を管理することに多くの成功を収めてきました。
両方の問題の解決策は、フォルダー/共有に関連付けられたresource groupsを作成することです。空のグループはまったく削除しないでください。グループは、フォルダーまたは共有が存在する限り存在し、ユーザーが存在する限り存在しません。フォルダを削除した場合は、空かどうかに関係なく、関連するリソースグループを削除します。
ADでセキュリティ原則を整理する方法についての質問は、私にとって少し謎です-それがADの目的です!好きなように整理できます!
これが[〜#〜] i [〜#〜]の方法です:
ノート: